經濟日報 App
  • 會員中心
  • 訂閱管理
  • 常見問題
  • 登出

資安治理/導入無密碼機制 掌握三關鍵 

本文共919字

經濟日報 張永信(群暉科技網路管理部門經理)

日前數位部長唐鳳提到,數位部的內部系統全面「無密碼化」:沒有密碼就不用擔心密碼被騙走,部會成員若沒有自然人憑證,便無法連上任何系統。事實上,當前密碼已成為企業資安架構中常見的漏洞,惡意攻擊者能藉此輕鬆入侵組織系統,洩漏重要的營運資料。

落實無密碼機制確實能大幅降低資料外洩的風險。但企業欲導入無密碼,並不如想像般容易。群暉科技從導入自行研發的無密碼方案經驗中,歸納出三大階段和要留意的事項。

一、慎選適合的無密碼登入方式。

市場擁有多種無密碼登入方案,企業可以從便利性、操作難易度層面評估。像最為保險的硬體金鑰,可有效阻擋網路或軟體漏洞,缺點是員工得隨身再攜帶一個金鑰,也可能意外丟失。

相對於用手機App核准登入或提供隨機密碼,使用起來方便得多,但面對特定手法如釣魚或疲勞攻擊,保護效果可能就會打折扣。

因此,負責部門可彙整所有無密碼登入機制,實測各方式所需時間和步驟,優先選擇與現有流程最接近的方案。

二、勤於溝通降低摩擦力。

工作習慣不易改變,要提高同仁轉換至安全登入方式的意願,必須自日常訓練讓他們意識資安的重要性,理解公司可能遇上的資安事件、會造成哪些損失,促使他們願意配合調整工作流程。

同時,建議事前要和各部門主管與同仁溝通新機制。

例如,舉辦說明會,解釋無密碼機制的操作方式與預期效益,如此才能理解大家的困擾、誤解與疑慮,提升下階段的順暢程度。

三、由容易到困難排序導入順位。

為了最大化溝通效益,企業導入無密碼機制時比起一次全面實施,更適合採取循序漸進的方法。在我們的經驗中,IT、MIS和開發部門適合作為優先測試的對象,他們較常接觸資安事件,也能接受解決方案在前期階段會有較多不便之處。

當公司有一定人數順利用上新登入方式,再推往業務或行銷部門,導入速度才會加快並提高接受度。

此外,應持續蒐集使用回饋或Bug,建立更貼近真實使用情境的機制。

舉例來說,原本群暉科技的無密碼登入方案,要求使用者仍得輸入密碼,才能接收到一次性驗證碼(TOTP),但使用起來相當不便,且仍須記憶密碼,最後改為直接輸入一次性驗證碼即可,整體操作更加流暢。

企業導入無密碼機制切勿急躁,規模愈大的公司愈須耐心逐步轉換,才能落實無密碼機制防堵資安漏洞,守護好企業的寶貴資料。

※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容

延伸閱讀

上一篇
兩岸靚人物/海能達通信創辦人陳清州 砸大錢打專利戰
下一篇
點子農場/用電影讓台灣被世界看見

相關

熱門

看更多

看更多

留言

完成

成功收藏,前往會員中心查看!